Если с нами Бог, то кто же против нас?
https://forum.lissyara.su/
я имел в виду не bpf, а pfmak_v_ писал(а):у меня на одном из серверов такое работатает
в ядро включил и то и то
bpf
IPFIREWALL
(опционально для ипфв - форварды, диверты и т.д)
работает около года
# ATA and ATAPI devices
device ata
device atadisk # ATA disk drives
device ataraid # ATA RAID drives
device atapicd # ATAPI CDROM drives
# atkbdc0 controls both the keyboard and the PS/2 mouse
device atkbdc # AT keyboard controller
device atkbd # AT keyboard
device psm # PS/2 mouse
device vga # VGA video card driver
# PCI Ethernet NICs.
device de # DEC/Intel DC21x4x (``Tulip'')
device em # Intel PRO/1000 adapter Gigabit Ethernet Card
device ixgb # Intel PRO/10GbE Ethernet Card
device txp # 3Com 3cR990 (``Typhoon'')
device vx # 3Com 3c590, 3c595 (``Vortex'')
device miibus # MII bus support
device bfe # Broadcom BCM440x 10/100 Ethernet
device bge # Broadcom BCM570xx Gigabit Ethernet
device dc # DEC/Intel 21143 and various workalikes
device fxp # Intel EtherExpress PRO/100B (82557, 82558)
device re # RealTek 8139C+/8169/8169S/8110S
device rl # RealTek 8129/8139
# Pseudo devices.
device loop # Network loopback
device random # Entropy device
device ether # Ethernet support
#device sl # Kernel SLIP
device ppp # Kernel PPP
device tun # Packet tunnel.
device pty # Pseudo-ttys (telnet etc)
#device md # Memory "disks"
device gif # IPv6 and IPv4 tunneling
#Включение PF в ядро
device pf
device pflog
#device pfsync
# Вклчение ALTQ
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
options DEVICE_POLLING
options IPFIREWALL # встраиваем поддержку файрволла в ядро
options IPFIREWALL_VERBOSE # вывод информации об отброшенных пакета
options IPFIREWALL_VERBOSE_LIMIT=100 # ограничение, чтоб весь /var
# логами не засрали
options IPFIREWALL_FORWARD # включаем поддержку перенаправления
# чтобы можно было сделать
# позрачный прокси-сервер
# TCP пакетов ядром
options IPDIVERT # поддержка IP-маскарадинга
options DUMMYNET # поддержка DUMMYNET (искуственное
# ограничение пропускной способности
# сети, может быть нужно если есть
# необходимость урезать канал одним
# и разжать другим компьютерам)
options TCP_DROP_SYNFIN # Это нужно, чтобы сетевые сканеры
# не могли определять версию OS на
# сервере. Также нужно добавить в
# /etc/rc.conf строчку
# tcp_drop_synfin="YES"
Спасибо!